¿Qué son los web trackers? ¿cómo actúan? ¿cómo proteger nuestra privacidad restringiendo los datos que entregamos mientras navegamos?

Mucha de la actividad que tenemos en línea es almacenada por alguien y analizada mediante tecnologías de rastreo o tracking web. Los sitios que visitamos, el tiempo de permanencia, la actividad que tenemos en el sitio, los productos que compramos, los enlaces u objetos que compartimos con nuestros amigos en las redes sociales, nuestra geolocalización, el navegador y sistema operativo que estemos usando, la resolución de nuestra pantalla… en fin, infinidad de datos entregamos todo el tiempo.

¿Con qué fin? Generalmente publicidad, todo para que en los sitios veamos publicidad enfocada en nuestros gustos, nivel económico, compras relacionadas, y otras actividades. No es raro que si alguien compra una moto en MercadoLibre reciba publicidades sobre cascos e indumentarias en anuncios de Facebook, Gmail o cualquier sitio que utilice Google Ads.

Qué tecnologías se usan para el web tracking

Las tecnologías de tracking nos reducen a un número en la red para poder seguir nuestra actividad. Los datos recolectados son vendidos a empresas como Google o Facebook están permanentemente buscando la forma de obtener más información de los usuarios en Internet.

Entre las principales tecnologías utilizadas por los web trackers se encuentran:

• Cookies: pequeñas piezas de código de menos de 4KiB colocadas en el almacenamiento de nuestro navegador por el servidor web. Cuando un usuario visita un sitio web por primera vez, se almacena un archivo cookie con un identificador único de usuario en la computadora cliente.
• Huella digital del navegador: incluye tipo y versión del navegador, sistema operativo, versión, resolución de pantalla, fuentes, plugins, zona horaria, lenguaje y preferencias de localización. Incluso configuraciones de hardware… esto identifica perfectamente casi a cualquier dispositivo.
• Web Beacons o web bugs: muy pequeños, incluso muchas veces invisibles, objetos embebidos en las páginas web o correos electrónicos. Imaginemos una imagen tan pequeña como un pixel puesta en cualquier parte de un sitio web, invisible. Cuando entramos al sitio, se realiza una consulta remota para descargar dicha imagen. En ese momento el servidor sabrá que hemos entrado a la página, o hemos abierto un correo electrónico.

¿Cómo funcionan los web trackers?

Cuando entramos a un sitio web, en general nuestra visita dispara una serie de triggers que envían información a sitios externos. Si el sitio mide SEO utilizando Google Analytics, enviará a Google la información recolectada, tiempo de visita, páginas visitadas, información del dispositivo que utilizamos, enlaces clickeados, etc. Lo mismo ocurre si el sitio presenta plugins de twitter, Facebook, etc., estas también son formas de rastreo, aunque la mayoría (como Analytics) son invisibles.

Esta información que las grandes empresas recolectan por un lado se la brindan a quienes hacen analítica web y SEO, ya que esta información es muy valiosa para mejorar las ventas y la visibilidad del sitio en Internet, pero también la utilizan para mejorar la efectividad de las campañas publicitarias en muchas otras plataformas.

Los problemas de los web trackers

Privacidad

Las empresas que recolectan información de los usuarios pueden manipularlos. Anuncios publicitarios con precios modificados según lo que saben que estás dispuesto a pagar por un producto, las noticias que ves en las redes sociales están modificadas de acuerdo a tu perfil personal y abusan de tus debilidades. Facebook sabe cuándo estás en un estado anímico en el que eres propicio a comprar ciertos productos, y te los ofrece (y no es Black Mirror).

Sin los web trackers, los dueños de los sitios deben tratar a todos sus visitantes como extraños, los trackers les ayudan a ofrecerles publicidades y contenidos personalizados.

Rendimiento

Otro problema importante es el tiempo de carga del sitio. Imaginemos un sitio web con un código de tracking de Google Analytics, y códigos que muestran nuestros últimos tweets y nuestros seguidores en Facebook. Además, un plugin de Disqus que tiene activado el tracking para «mejora de la experiencia de usuario». Cuando visitemos el sitio, nuestro navegador establecerá conexiones http para descargar el contenido. Además, el sitio en si mismo establecerá conexiones con servidores externos, de Google, Facebook, Twitter y Disqus. La velocidad de carga del sitio (page speed) se verá incrementada, y este factor es considerado para el SEO por buscadores como Google, que lo penalizarán en sus resultados de búsqueda.

Web trackers propios vs web trackers de terceros

Hay que distinguir un punto importante, y para ello es necesario entender que no todos los rastradores, o web trackers son necesariamente malos. Debemos distinguir entonces entre los web trackers propios, y los web trackers de terceros.

Trackers propios

Imaginemos que montamos un sitio y queremos saber qué artículos que publicamos tiene éxito, o qué dispositivos utiliza la mayoría de nuestros seguidores para poder adaptar mejor la interfaz del sitio a dichas resoluciones, o incluso el tiempo de carga promedio que tienen que «soportar» nuestros visitantes. Esa información bien utilizada puede dale al creador de un sitio una herramienta muy útil para mejorar la calidad del sitio y optimizar los recursos. Utilizar una herramienta hosteada por nosotros que nos permita rastrear estos datos es considerada un tracker propio.

Trackers de terceros

Si estos datos los estamos recuperando mediante Google Analytics, esos datos los podemos aprovechar y utilizar a nuestro beneficio, pero también estamos «entregando» a Google un montón de información de nuestros visitantes para que esta empresa pueda ofrecer publicidad enfocada. Además, toda la actividad de un usuario dentro de nuestro sitio también estaría en manos de Google. Y lo mismo con los trackers de terceros, ya sean de Facebook, Twitter, Instagram, LinkedIn, etc.

Los trackers de terceros son malos, y además tienen la pueden enviar información a trackers de terceros adicionales, y aquí perdemos la noción de dónde está yendo nuestra información personal. Los datos privados de las personas tiene mucho valor, y como usuarios tenemos el derecho a saber qué información están recolectando estos trackers. Edad, nivel de ingresos, tanto nuestros como de nuestra familia y conocidos, historial médico, hábitos alimenticios, sitios que visitamos frecuentemente, fechas de cumpleaños, etc.

Cuando un sitio rastrea esta información y la envía a un tercero, le da la posibilidad de ponerse en contacto con el usuario para ofrecerle publicidad, o inducirlo a registrarse en servicios que obtendrán más información.

Web trackers… ¿anónimos?

Uno podría pensar que el rastreo es anónimo dado que no está asociado a nuestro nombre y apellido, sin embargo rastreadores de terceros como el de Facebook conocen nuestra identidad real si hemos creado una cuenta en la red social, ya sea que estemos o no logueados en la misma. Además, el análisis de algoritmos permite identificarnos mediante similitud estadística entre nuestro historial de navegación y los perfiles que tenemos en las redes sociales.

¿Qué saben de nosotros los web trackers?

Existen varias maneras de buscar la información que empresas como Facebook o Google almacenan de nosotros, nuestra identidad digital. Un excelente tweet de @Dylan Curran nos da mucha información al respecto, pero voy a reseñar algunos puntos que me parecieron interesantes. Recomiendo visitar los enlaces, algunos servicios nos permiten (de una manera bastante rebuscada para mi gusto) eliminar estos datos (o al menos, darnos esa impresión). Centraré el análisis en dos de las principales fuentes: Google y Facebook.

Google

• https://myactivity.google.com/myactivity Google almacena nuestro historial de búsqueda en la red, a través de cualquier dispositivo.
• https://www.google.com/settings/ads/ Google crea un perfil de publicidad basado en nuestra información, incluyendo geolocalización, género, edad, hobbies, carrera, intereses, relaciones, incluso nuestro peso, y más.
• https://security.google.com/settings/security/permissions: Google almacena información sobre las aplicaciones que instaladamos, cuándo las usamos, con quién hablamos, a qué hora, o cuándo nos vamos a dormir.
• https://www.youtube.com/feed/history/search_history Google almacena nuestro historial de youtube, sabe si vas a ser padre pronto, si eres conservador, tu religión, si estás deprimido, si eres anoréxico.

Google también permite descargar toda la info que tenemos. En mi caso ordené la descarga y a las horas me llegó la confirmación de que ya estaban los archivos listos para descargar: 320 GiB!!

Y sí, son muchos datos: configuraciones de Android, Marcadores web, calendarios, configuraciones e historial en Chrome, Contactos, Drive, actividad en Google Fit, datos del marketplace de G Suite, preguntas y respuestas en los grupos de ayuda de Google, palabras aprendidas por Google según lo que escribimos en nuestros dispositivos, todos los datos relacionados a Google My Business, info de Google One, Google Play, fotos y videos, info de servicios Play Store, Movies y TV, grupos, compras y reservaciones, transacciones de pago, comentarios en Hangouts on Air, Home App, notas de Keep, historial de geolocalización, E-mails y adjuntos, mapas, G News, contribuciones de búsqueda, colecciones guardadas de G Search, Street view, Tasks, publicidad a la que dimos clic, historial de búsqueda y videos vistos de youtube, y toda la info de actividad de la cuenta… 300 GiB no es mucho si lo pienso :S

Facebook

Facebook ofrece la forma de descargar toda la información que posee de nosotros (Settings -> Your Facebook Information). No es raro encontrarse que los archivos que nos permiten descargar sean varios Gigas de información: fotos, mensajes, contactos, y mucho más. Aquí una captura de la info que descargué de mi cuenta:

En esa lista está TODO, y cuando digo TODO me refiero a todo el contenido que alguna vez publicamos, y aquel que eliminamos. Con quién interactuamos, en qué anuncios dimos clic, lo que buscamos, nuestra localización, los amigos, los mensajes, comentarios, reactions, fotos, videos, llamadas, productos vendidos/comprados, etc.

¿Podemos bloquear los web trackers?

Sí. Afortunadamente existen extensiones para los navegadores que permiten bloquear los rastradores. También existen clientes de correo electrónico que bloquean conexiones con servicios de terceros protegiendo nuestra privacidad. Algunos ejemplos…

Firefox + DuckDuckGo

Mozilla Firefox para escritorio dispone de la extensión DuckDuckGo Privacy Essentials que bloquea rastreadores y muestra estadísticas de la información que un sitio recolecta. Además califica a los sitios desde los más «malos» hasta los más «buenos» respecto de la protección de la privacidad de sus visitantes.

Esta extensión tiene en cuenta varios factores para su calificación, entre ellos:

• La conexión debe ser cifrada (HTTPS / SSL/TLS).
• Si se han bloqueado o no rastreadores.
• ¿son explícitas las políticas de privacidad del sitio?

Lo primero influye muchísimo en la calificación, y lo último también (aunque no lo he visto activado casi en ningún sitio que he visitado recientemente). Los trackers bloqueados no representan una amenaza, y solo nos informa desde dónde estaba intentando recibir datos el sitio. No es bueno que un sitio incluya muchos trackers de terceros, pero al menos tenemos la tranquilidad de que están siendo bloqueados.

Veamos algunos ejemplos. Justamente estaba leyendo este artículo de The Verge sobre cómo Mozilla planea bloquear por defecto todos los trackers de publicidad (excelente noticia por cierto!!):

20 trackers bloqueados: los principales en este artículo: Fox, Google, Amazon, Twitter, AppNexus, OpenX, Moab, y TripleLift.

El caso de JuncoTIC.com

Tomando conciencia del gran valor que tiene nuestra privacidad en la red, y particularmente la de quienes visitan nuestro sitio web, decidimos eliminar todos los trackers de terceros de nuestras plataformas. Hemos abandonado Google Analytics, y hemos eliminado los plugins de Facebook y Twitter de nuestro sidebar, y los contadores de seguidores de todas nuestras redes sociales. Veamos el resultado:

Algunos beneficios del cambio: se aceleró notablemente el tiempo de carga del sitio, y por supuesto, tenemos la tranquilidad de no estar regalando información privada de nuestros visitantes a terceros 🙂

Por otro lado, nos interesa mantener estadísticas de las visitas a nuestro sitio, como los accesos a determinados recursos, o el tiempo de carga promedio. Pero no nos interesa (ni queremos) saber nada de nuestros visitantes, por lo que utilizamos una instancia propia de Matomo (ex Piwik), una excelente herramienta libre (GNU GPLv3) de análisis web, y no entregamos ningún tipo de datos ni estadística a terceros.

Recomendaciones finales

En este artículo he referenciado datos y prácticas reales que se llevan a cabo en Internet, no es un cuento de un loco paranoico que piensa que los robots y la IA van a destruir a la humanidad. Todo es más real de lo que parece, ocurre y es importante que lo conozcamos, y tengamos la posibilidad de hacer algo al respecto.

Navegadores…

Respecto a los usuarios finales, personalmente recomiendo usar navegadores más enfocados en la privacidad, como Firefox o Brave, aplicar plugins que nos beneficien en este sentido, como el mencionado de DuckDuckGo, además de bloqueadores de anuncios publicitarios.

Nunca está de más disponer de un navegador que soporte conexiones a través de la red TOR, como el Tor Browser, o las pestañas TOR de Brave.

Clientes de E-Mail

Otro punto importante son los correos electrónicos. Utilizar clientes como Thunderbird permite bloquear anuncios publicitarios y web trackers de terceros que informan, por ejemplo, si abrimos el email o no.

Propietarios de sitios web

Respecto a los creadores de sitios y plataformas online, les pediría que analicen si realmente vale la pena embeber plugins de redes sociales como Facebook, Twitter o Instagram en sus sitios. Además mencionarles que existen alternativas libres a Google Analytics como Matomo, que si corre en una instancia propia no entrega información de visitas a entidades externas.

Espero que estas recomendaciones sean útiles! Como siempre quedo abierto a comentarios y sugerencias… ¿Conoces otras herramientas libres? ¿Referencias relacionadas? Puedes dejarlas en la sección de comentarios del blog!

Hasta la próxima!